Podczas listopadowego Patch Tuesday Microsoft opublikował poprawki dotyczące 89 nowych luk w zabezpieczeniach swoich produktów. Dwie z tych luk – CVE-2024-43451 i CVE-2024-49039 – są już aktywnie wykorzystywane przez cyberprzestępców. Poniżej publikujemy szczegóły.
Wykorzystanie luki CVE-2024-43451
CVE-2024-43451 to poważna luka, która pozwala atakującym na podniesienie uprawnień na zaatakowanych urządzeniach z systemami Windows oraz Windows Server poprzez ujawnienie skrótu NTLMv2 użytkownika, zawierającego jego dane uwierzytelniające. W praktyce umożliwia to atakującym stosowanie techniki pass the hash do uwierzytelnienia się jako dany użytkownik.
„Z mojej wiedzy wynika, że to już trzecia luka ujawniająca skróty NTLMv2, która została wykorzystana w 2024 roku” – mówi Satnam Narang, starszy inżynier ds. badań w Tenable.
Pomimo braku potwierdzonych przypadków aktywnego wykorzystania tej luki w praktyce Narang zwraca uwagę na ciągłą determinację atakujących w poszukiwaniu i eksploatacji luk zero-day, które ujawniają skróty NTLMv2. Ataki tego typu mogą umożliwiać atakującym przemieszczanie się po sieci w celu zdobycia dostępu do innych systemów.
Aby wywołać CVE-2024-43451, wymagana jest interakcja użytkownika, np. otwarcie zainfekowanego pliku. Specjaliści zauważają jednak, że nie stanowi to znaczącej przeszkody dla doświadczonych cyberprzestępców.
Wykorzystanie luki CVE-2024-49039
CVE-2024-49039 to luka w harmonogramie zadań systemu Windows, również wykorzystywana do podnoszenia uprawnień. Luka pozwala na ucieczkę z AppContainer, co umożliwia użytkownikowi o niskich uprawnieniach wykonanie kodu z poziomem średniej integralności. Choć atakujący muszą mieć możliwość wykonania kodu na systemie, luki związane z ucieczką z kontenerów są rzadko spotykane i szczególnie interesujące.
„Po pomyślnym wykorzystaniu luki atakujący mogą podnieść swoje uprawnienia, uzyskać dostęp do wcześniej niedostępnych zasobów oraz uruchamiać kod, np. funkcje zdalnego wywoływania procedur (RPC)” – dodaje Narang.
Dustin Childs, szef ds. świadomości zagrożeń w Trend Micro Zero Day Initiative, zauważa, że choć szczegóły dotyczące praktycznego wykorzystania CVE-2024-49039 są ograniczone, przypisanie tej luki różnym badaczom, w tym członkom Google TAG, sugeruje, że może ona być związana z zaawansowaną działalnością APT lub operacjami sponsorowanymi przez państwa.
Inne ciekawe i załatane luki w zabezpieczeniach
Poza powyższymi dwiema lukami zostały załatane inne, o których warto wspomnieć.
CVE-2024-43639 to luka, która przyciąga szczególną uwagę. Jak podaje Microsoft, „nieuwierzytelniony atakujący może wykorzystać specjalnie spreparowaną aplikację do zdalnego wykonania kodu, wykorzystując lukę w zabezpieczeniach protokołu kryptograficznego Windows Kerberos”. Co istotne, zgodnie z ciągiem wektora CVSS, nie jest wymagana interakcja użytkownika, aby doszło do wykorzystania tej luki. Z racji działania Kerberos z podwyższonymi uprawnieniami luka ta jest potencjalnie podatna na rozprzestrzenianie się między systemami, co czyni ją szczególnie groźną.
CVE-2024-5535 to luka w OpenSSL, która została pierwotnie ujawniona w czerwcu 2024 r., a teraz załatana w Microsoft Defender for Endpoint. Aby wykorzystać tę lukę, atakujący musi wysłać złośliwy link, najczęściej za pośrednictwem poczty e-mail lub komunikatora, i skłonić użytkownika do kliknięcia. W najbardziej niekorzystnym scenariuszu mailowego ataku atakujący może wysłać specjalnie spreparowaną wiadomość e-mail, która wywoła zdalne wykonanie kodu bez konieczności jej otwierania przez ofiarę. Microsoft ocenił jednak, że realne wykorzystanie tej luki jest mało prawdopodobne.
CVE-2024-49019 to publicznie ujawniona luka podniesienia uprawnień w Active Directory Certificate Services (AD CS), uznana przez Microsoft za bardziej prawdopodobną do wykorzystania. Luka ta wynika z niewłaściwej konfiguracji szablonów certyfikatów w środowisku PKI. Skuteczne wykorzystanie tej luki może umożliwić atakującemu uzyskanie uprawnień administratora domeny. Microsoft wydał odpowiednie poprawki oraz środki zaradcze, aby przeciwdziałać tej podatności.
CVE-2024-49040 to numer luki umożliwiającej podszywanie się w Microsoft Exchange Server. Została ona publicznie ujawniona z dowodem koncepcji wykorzystania. Problem leży w obecnej implementacji weryfikacji nagłówka P2 FROM podczas transportu wiadomości. Microsoft wyjaśnia, że implementacja ta pozwala na przepuszczenie niezgodnych ze standardem RFC 5322 nagłówków, co może sprawić, że klient poczty e-mail, taki jak Outlook, wyświetli sfałszowanego nadawcę jako autentycznego.
Od listopadowej aktualizacji zabezpieczeń programu Exchange Server 2024 r. serwer będzie w stanie wykrywać i oznaczać e-maile z potencjalnie złośliwymi wzorcami w nagłówku P2 FROM. Wiadomości takie będą zawierały dodatkowe zastrzeżenie informujące odbiorców o potencjalnym zagrożeniu.
Zalecenia dla administratorów
- Szybkie wdrożenie poprawek: Upewnij się, że wszystkie poprawki opublikowane w ramach listopadowego Patch Tuesday 2024 zostały jak najszybciej zaimplementowane na serwerach i urządzeniach z systemami Windows oraz Windows Server. Dotyczy to w szczególności poprawek dla luk CVE-2024-43451, CVE-2024-49039, CVE-2024-43639, CVE-2024-49019 oraz CVE-2024-49040.
- Monitorowanie i testowanie środowiska Kerberos: Biorąc pod uwagę podatność CVE-2024-43639, sprawdź i monitoruj konfiguracje systemów korzystających z protokołu Kerberos. Przeprowadź testy, aby upewnić się, że środki zabezpieczające działają poprawnie po wdrożeniu poprawek.
- Przegląd szablonów certyfikatów PKI: Zidentyfikuj i skoryguj potencjalnie błędne konfiguracje szablonów certyfikatów w Active Directory Certificate Services, aby zminimalizować ryzyko związane z luką CVE-2024-49019. Upewnij się, że tylko odpowiednio skonfigurowane szablony są używane do wydawania certyfikatów.
- Wdrożenie zasad bezpieczeństwa w Microsoft Exchange Server: Zaktualizuj Microsoft Exchange Server zgodnie z najnowszymi zaleceniami, aby chronić się przed luką CVE-2024-49040. Skonfiguruj system do wykrywania i oznaczania podejrzanych nagłówków P2 FROM. Przeprowadź regularne audyty wiadomości e-mail, aby zidentyfikować potencjalne próby podszywania się.